トラブルシューティングガイド

3.13.3　MAC認証使用時の通信障害

MAC認証使用時の障害については，「表3-62　MAC認証の障害解析方法」に示す障害解析に従って原因を切り分けてください。

また，MAC認証のコンフィグレーションに関する確認，およびアカウンティングに関する確認についてはそれぞれ「表3-63　MAC認証のコンフィグレーションの確認」，「表3-64　MAC認証のアカウンティングの確認」に従って原因を切り分けてください。

表3-62　MAC認証の障害解析方法

項番確認内容・コマンド対応

1 端末が通信できるかを確認してください。

ローカル認証方式で認証できない場合は項番2へ。

RADIUS認証方式で認証できない場合は項番3へ。

上記に該当しない場合は項番5へ。

2 show mac-authentication mac-addressコマンドでMACアドレスとVLAN IDが登録されているかを確認してください。

MACアドレスが登録されていない場合は，set mac-authentication mac-addressコマンドでMACアドレス，およびVLAN IDを登録してください。

上記に該当しない場合は項番5へ。

3 show mac-authentication statisticsコマンドでRADIUSサーバとの通信状態を確認してください。

表示項目"[RADIUS frames]"の"TxTotal"の値が"0"の場合は，コンフィグレーションコマンドaaa authentication mac-authentication default group radius，radius-server hostおよびmac-authentication radius-server hostが正しく設定されているか確認してください。

AX3800Sモデル，AX3600SモデルおよびAX2400Sモデルの場合，dead interval機能によって，RADIUSサーバが無応答となった状態から通信可能な状態に復旧しても，コンフィグレーションコマンドauthentication radius-server dead-intervalで設定された時間の間はRADIUSサーバへの照合は行われないため，認証エラーとなります。
この際，RADIUSサーバ無応答による認証失敗の時間が長すぎる場合は，コンフィグレーションコマンドauthentication radius-server dead-intervalの設定値を変更するか，またはclear mac-authentication dead-interval-timerコマンドを実行してください。1台目のRADIUSサーバを使用した認証動作が再開されます。

上記に該当しない場合は項番4へ。

4 RADIUSサーバにMACアドレスおよびパスワードが登録されているかを確認してください。

RADIUSサーバのユーザIDとしてMACアドレスが登録されていない場合は，RADIUSサーバに登録してください。

パスワードとしてMACアドレスを使用している場合は，ユーザIDに設定したMACアドレスと同一の値を設定してください。

パスワードとして，RADIUSサーバに共通の値を設定した場合は，コンフィグレーションコマンドmac-authentication passwordで設定したパスワードと一致しているかを確認してください。

上記に該当しない場合は項番5へ。

5 認証専用IPv4アクセスリストの設定を確認してください。

認証前状態の端末から装置外に特定のパケット通信を行う場合，認証専用IPv4アクセスリストが設定されていることを確認してください。
また，通常のアクセスリストと認証専用IPv4アクセスリストの両方を設定した場合，認証専用IPv4アクセスリストに設定したフィルタ条件が通常のアクセスリストにも設定されていることを確認してください。

認証せずに通信できてしまう場合は，アクセスリストに，IPパケットの通信を許可するフィルタ条件（permit ip anyなど）が設定されていないことを確認してください。

AX3800Sモデル，AX3600SモデルおよびAX2400Sモデルでは，認証対象ポートに設定した認証専用IPv4アクセスリストにdeny ip any anyのフィルタ条件を設定しても，受信したARPパケットによってMAC認証が行われます。該当ポートをMAC認証の対象から外したい場合は，コンフィグレーションコマンドno mac-authentication portでMAC認証の対象ポートから外してください。

上記に該当しない場合は項番6へ。

6 show mac-authentication statisticsコマンドでMAC認証の統計情報が表示されるかを確認してください。

MAC認証の統計情報が表示されない場合は項番7へ。

上記に該当しない場合は項番8へ。

7 コンフィグレーションコマンドmac-authentication system-auth-controlが設定されているかを確認してください。

コンフィグレーションコマンドmac-authentication system-auth-controlが設定されていない場合は，設定してください。

コンフィグレーションコマンドmac-authentication portで認証対象ポートが正しく設定されているかを確認してください。

端末が接続されている認証対象ポートがリンクダウン，またはシャットダウンしていないことを確認してください。

上記に該当しない場合は項番8へ。

8 show mac-authentication loggingコマンドを実行し，動作に問題がないかを確認してください。

最大収容条件まで認証されている場合はほかの端末が認証解除するまでお待ちください。

上記に該当しない場合はMAC認証のコンフィグレーションを確認してください。

MAC認証に関係するコンフィグレーションは次の点を確認してください。

表3-63　MAC認証のコンフィグレーションの確認

項番確認ポイント確認内容

1 MAC認証のコンフィグレーション設定次のコンフィグレーションコマンドが正しく設定されていることを確認してください。

aaa accounting mac-authentication default start-stop group radius

aaa authentication mac-authentication default group radius

mac-authentication password

mac-authentication port

mac-authentication radius-server host

mac-authentication static-vlan max-user

mac-authentication system-auth-control

2 認証用アクセスフィルタの設定を確認認証前状態の端末から装置外に通信するために必要なフィルタ条件が，コンフィグレーションコマンドauthentication ip access-groupおよびip access-list extendedで，正しく設定されていることを確認してください。

MAC認証のアカウンティングに関しては次の点を確認してください。

表3-64　MAC認証のアカウンティングの確認

項番確認ポイント確認内容

1 認証結果のアカウントが正しく記録されているかの確認

show mac-authentication loginに認証状態が表示されていない場合は「表3-62　MAC認証の障害解析方法」を実施してください。

アカウンティングサーバに記録されていない場合は項番2へ。

syslogサーバに記録されていない場合は項番3へ。

2 show mac-authentication statisticsコマンドでのアカウンティングサーバとの通信状態の確認

表示項目"[Account frames]"の"TxTotal"の値が"0"の場合は，コンフィグレーションコマンドaaa accounting mac-authentication default start-stop group radius，radius-server host，またはmac-authentication radius-server hostが正しく設定されているか確認してください。

上記に該当しない場合はMAC認証のコンフィグレーションを確認してください。

3 syslogサーバの設定の確認次のコンフィグレーションコマンドが正しく設定されていることを確認してください。

logging hostでsyslogサーバが設定されていることを確認してください。

logging event-kindでイベント種別にautが設定されていることを確認してください。

mac-authentication logging enableが設定されていることを確認してください。

項番	確認内容・コマンド	対応
1	端末が通信できるかを確認してください。	ローカル認証方式で認証できない場合は項番2へ。 RADIUS認証方式で認証できない場合は項番3へ。上記に該当しない場合は項番5へ。
2	show mac-authentication mac-addressコマンドでMACアドレスとVLAN IDが登録されているかを確認してください。	MACアドレスが登録されていない場合は，set mac-authentication mac-addressコマンドでMACアドレス，およびVLAN IDを登録してください。上記に該当しない場合は項番5へ。
3	show mac-authentication statisticsコマンドでRADIUSサーバとの通信状態を確認してください。	表示項目"[RADIUS frames]"の"TxTotal"の値が"0"の場合は，コンフィグレーションコマンドaaa authentication mac-authentication default group radius，radius-server hostおよびmac-authentication radius-server hostが正しく設定されているか確認してください。 AX3800Sモデル，AX3600SモデルおよびAX2400Sモデルの場合，dead interval機能によって，RADIUSサーバが無応答となった状態から通信可能な状態に復旧しても，コンフィグレーションコマンドauthentication radius-server dead-intervalで設定された時間の間はRADIUSサーバへの照合は行われないため，認証エラーとなります。この際，RADIUSサーバ無応答による認証失敗の時間が長すぎる場合は，コンフィグレーションコマンドauthentication radius-server dead-intervalの設定値を変更するか，またはclear mac-authentication dead-interval-timerコマンドを実行してください。1台目のRADIUSサーバを使用した認証動作が再開されます。上記に該当しない場合は項番4へ。
4	RADIUSサーバにMACアドレスおよびパスワードが登録されているかを確認してください。	RADIUSサーバのユーザIDとしてMACアドレスが登録されていない場合は，RADIUSサーバに登録してください。パスワードとしてMACアドレスを使用している場合は，ユーザIDに設定したMACアドレスと同一の値を設定してください。パスワードとして，RADIUSサーバに共通の値を設定した場合は，コンフィグレーションコマンドmac-authentication passwordで設定したパスワードと一致しているかを確認してください。上記に該当しない場合は項番5へ。
5	認証専用IPv4アクセスリストの設定を確認してください。	認証前状態の端末から装置外に特定のパケット通信を行う場合，認証専用IPv4アクセスリストが設定されていることを確認してください。また，通常のアクセスリストと認証専用IPv4アクセスリストの両方を設定した場合，認証専用IPv4アクセスリストに設定したフィルタ条件が通常のアクセスリストにも設定されていることを確認してください。認証せずに通信できてしまう場合は，アクセスリストに，IPパケットの通信を許可するフィルタ条件（permit ip anyなど）が設定されていないことを確認してください。 AX3800Sモデル，AX3600SモデルおよびAX2400Sモデルでは，認証対象ポートに設定した認証専用IPv4アクセスリストにdeny ip any anyのフィルタ条件を設定しても，受信したARPパケットによってMAC認証が行われます。該当ポートをMAC認証の対象から外したい場合は，コンフィグレーションコマンドno mac-authentication portでMAC認証の対象ポートから外してください。上記に該当しない場合は項番6へ。
6	show mac-authentication statisticsコマンドでMAC認証の統計情報が表示されるかを確認してください。	MAC認証の統計情報が表示されない場合は項番7へ。上記に該当しない場合は項番8へ。
7	コンフィグレーションコマンドmac-authentication system-auth-controlが設定されているかを確認してください。	コンフィグレーションコマンドmac-authentication system-auth-controlが設定されていない場合は，設定してください。コンフィグレーションコマンドmac-authentication portで認証対象ポートが正しく設定されているかを確認してください。端末が接続されている認証対象ポートがリンクダウン，またはシャットダウンしていないことを確認してください。上記に該当しない場合は項番8へ。
8	show mac-authentication loggingコマンドを実行し，動作に問題がないかを確認してください。	最大収容条件まで認証されている場合はほかの端末が認証解除するまでお待ちください。上記に該当しない場合はMAC認証のコンフィグレーションを確認してください。

項番	確認ポイント	確認内容
1	MAC認証のコンフィグレーション設定	次のコンフィグレーションコマンドが正しく設定されていることを確認してください。 aaa accounting mac-authentication default start-stop group radius aaa authentication mac-authentication default group radius mac-authentication password mac-authentication port mac-authentication radius-server host mac-authentication static-vlan max-user mac-authentication system-auth-control
2	認証用アクセスフィルタの設定を確認	認証前状態の端末から装置外に通信するために必要なフィルタ条件が，コンフィグレーションコマンドauthentication ip access-groupおよびip access-list extendedで，正しく設定されていることを確認してください。

項番	確認ポイント	確認内容
1	認証結果のアカウントが正しく記録されているかの確認	show mac-authentication loginに認証状態が表示されていない場合は「表3-62　MAC認証の障害解析方法」を実施してください。アカウンティングサーバに記録されていない場合は項番2へ。 syslogサーバに記録されていない場合は項番3へ。
2	show mac-authentication statisticsコマンドでのアカウンティングサーバとの通信状態の確認	表示項目"[Account frames]"の"TxTotal"の値が"0"の場合は，コンフィグレーションコマンドaaa accounting mac-authentication default start-stop group radius，radius-server host，またはmac-authentication radius-server hostが正しく設定されているか確認してください。上記に該当しない場合はMAC認証のコンフィグレーションを確認してください。
3	syslogサーバの設定の確認	次のコンフィグレーションコマンドが正しく設定されていることを確認してください。 logging hostでsyslogサーバが設定されていることを確認してください。 logging event-kindでイベント種別にautが設定されていることを確認してください。 mac-authentication logging enableが設定されていることを確認してください。

[目次][前へ][次へ]

[他社商品名称に関する表示]

3.13.3 MAC認証使用時の通信障害

3.13.3　MAC認証使用時の通信障害